安全專家 Impulsive 近日披露,中國兩款主流防毒軟件「金山毒霸」與「360 安全衛士」核心驅動程式存在嚴重安全漏洞。黑客可藉此將普通用戶權限提升至 Windows 最高 SYSTEM 權限,繞過 KASLR(內核位址空間佈局隨機化)保護機制,並可竊取內核憑證及修改內核回呼表以隱藏惡意行為。由於這兩個驅動程式均持有 EV 或 WHQL 官方簽名,攻擊者無需在目標裝置安裝額外軟件,便可直接載入惡意 payload,攻擊門檻極低。
Impulsive 指出,金山毒霸 kdhacker64_ev.sys 驅動程式在透過 IOCTL 0x120140 接收用戶輸入後,分配緩衝區大小僅為實際所需一半。輸入 1,160 位元組數據,系統只分配 584 位元組空間,直接引致 512 位元組內核池溢位,加上呼叫 RtlInitUnicodeString 時完全缺乏邊界檢查。由於該驅動程式持有有效 EV 簽名,攻擊者一旦利用此漏洞,便可完全控制系統。
360 安全衛士 DsArk64.sys 問題同樣嚴重。該驅動程式透過 IOCTL 0x80863008 接收 4 位元組程式 ID,並呼叫 Ring 0 的 ZwTerminateProcess 函數來終止所有程式,卻完全漠視 PPL(Protected Process Light)保護機制。更危險之處在於其內核讀寫操作雖採用 AES-128-CBC 加密,但密鑰卻硬編碼儲存於 .data 檔案,所有版本均沿用同一把密鑰,令加密形同虛設。根據 LOLDrivers 資料庫顯示,DsArk64.sys 正是 360 反 rootkit 掃描驅動程式,持有 Microsoft WHQL 簽名。
諷刺的是,kdhacker64_ev.sys 是金山毒霸防火牆及防護驅動程式,DsArk64.sys 則是 360 的 rootkit 掃描器。這兩個本應保護系統的組件,反而淪為黑客可利用的內核後門。
Impulsive 已將兩宗漏洞提交至 LOLDrivers 資料庫,要求 Microsoft 撤銷相關驅動程式 WHQL 簽名。Microsoft 過去曾多次配合安全研究人員採取行動,例如 2023 年 Sophos 披露逾 133 個惡意 WHQL 驅動程式後,Microsoft 在當月 Patch Tuesday 中宣告撤銷相關簽名,令惡意驅動程式無法成功載入。恰逢 Microsoft 於 2026 年 4 月起在 Windows 11 24H2 等版本收緊驅動程式簽名政策,停止信任舊式跨簽名根程式驅動程式,進一步壓縮此類漏洞利用空間。
目前 Impulsive 建議所有正在使用金山毒霸與 360 安全衛士用戶立即解除安裝相關軟件,以降低系統被入侵風險。
資料來源:Impulsive X 發文、LOLDrivers GitHub